PDF de programación - Lección 8 - Digital Forensics - Hacker Highschool

LECCIÓN 8

DIGITAL FORENSICS

LECCIÓN 8 – DIGITAL FORENSICS

“License for Use” Information

The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:

All works in the Hacker Highschool project are provided for non-commercial use with
elementary school students, junior high school students, and high school students whether in a
public institution, private institution, or a part of home-schooling. These materials may not be
reproduced for sale in any form. The provision of any class, course, training, or camp with
these materials for which a fee is charged is expressly forbidden without a license including
college classes, university classes, trade-school classes, summer or computer camps, and
similar. To purchase a license, visit the LICENSE section of the Hacker Highschool web page at
www.hackerhighschool.org/license.

The HHS Project is a learning tool and as with any learning tool, the instruction is the influence
of the instructor and not the tool. ISECOM cannot accept responsibility for how any
information herein is applied or abused.

The HHS Project is an open community effort and if you find value in this project, we do ask
you support us through the purchase of a license, a donation, or sponsorship.

All works copyright ISECOM, 2004.

Información sobre la “Licencia de Uso”

Las lecciones y cuadernos de trabajo siguientes son de acceso público y están disponibles
bajo las siguientes condiciones de ISECOM:

Todos los trabajos del proyecto “Hacker Highschool” son proporcionados para su uso no
comercial con estudiantes de escuelas primarias, secundarias, bachilleratos y ciclos
formativos dentro de las actividades académicas propias de la institución. Dichos materiales
no pueden ser reproducidos con fines comerciales de ningún tipo. La impartición con estos
materiales de cualquier clase, curso o actividad de formación para el que sea necesario
pagar un importe, queda totalmente prohibida sin la licencia correspondiente, incluyendo
cursos en escuelas y universidades, cursos comerciales o cualquier otro similar. Para la
compra de una licencia visite la sección “LICENSE” de la página web del proyecto “Hacker
Highschool” en www.hackerhighschool.org/license.
El proyecto HHS es una herramienta de aprendizaje y, como tal, la formación final debe
proceder realmente de la influencia del instructor y no basarse únicamente en el uso de la
herramienta.

ISECOM no puede aceptar bajo ningún concepto responsabilidad alguna sobre la forma de
aplicar, ni sus consecuencias, de cualquier información disponible dentro del proyecto. El
proyecto HHS es un esfuerzo de una comunidad abierta, por lo que si encuentra útil este
proyecto le invitamos a patrocinarlo a través de de la compra de una licencia, una
donación o un patrocinio.

Todos los Derechos Reservados ISECOM, 2004.

2

LECCIÓN 8 – DIGITAL FORENSICS

Índice
“License for Use” Information............................................................................................................... 2
Información sobre la “Licencia de Uso”.............................................................................................. 2
Contribuciones........................................................................................................................................4
8.2. Principios del Forensics.....................................................................................................................6
8.2.1. Introducción..............................................................................................................................6
8.2.2. Evita la contaminación............................................................................................................6
8.2.3. Actúa metódicamente............................................................................................................6
8.2.4. Cadena de Evidencias............................................................................................................6
8.2.5. Conclusiones............................................................................................................................. 6
8.3. Análisis forense individualizado...................................................................................................... 7
8.3.1. Introducción..............................................................................................................................7
8.3.2. Fundamentos sobre discos duros y medios de almacenaje.............................................. 7
8.3.3. Encriptación, Desencriptación y Formatos de Ficheros......................................................9
8.3.4 Buscando una aguja en un pajar..........................................................................................11
8.3.4.1 Find....................................................................................................................................11
8.3.4.2 Grep..................................................................................................................................11
8.3.4.3 Strings................................................................................................................................12
8.3.4.4 Awk...................................................................................................................................12
8.3.4.5 El pipe “|”........................................................................................................................12
8.3.5 Haciendo uso de otras fuentes..............................................................................................13
8.4 Network Forensics............................................................................................................................13
8.4.0 Introducción.............................................................................................................................13
8.4.1 Firewall Logs..............................................................................................................................13
8.4.2 La cabecera de los mails....................................................................................................... 14
8.5 Lecturas de interés..........................................................................................................................14

3

LECCIÓN 8 – DIGITAL FORENSICS

Contribuciones
Simon Biles – Computer Security Online Ltd.
Pete Herzog – ISECOM
Chuck Truett, ISECOM
Marta Barceló, ISECOM
Kim Truett, ISECOM
Guiomar Corral - Enginyeria La Salle
Jaume Abella - Enginyeria La Salle

4

LECCIÓN 8 – DIGITAL FORENSICS

8.1. Introducción

Forensics o el análisis forense está relacionado con la aplicación de técnicas de
investigación metódicas para poder reconstruir una secuencia de eventos. La
mayoría de personas conocen el concepto de análisis forense por la televisión y
las películas, como por ejemplo la serie “CSI ( Crime Scene Investigation )” que es
una de las más conocidas. La ciencia del análisis forense ha estado durante
mucho tiempo, e incluso todavía lo está, relacionada con la Patología Forense
(averiguar las causas de la muerte de personas). La primera descripción
detallada que se ha encontrado del análisis forense es respecto a la Patología
Forense y data del 1248, en un libro chino llamado Hsi DuanYu (the Washing Away
of Wrongs). Este libro describe como distinguir si alguien ha muerto ahogado o
estrangulado.1
Digital forensics o el análisis forense digital es un poco menos confuso pero
también es menos conocido. Es el arte de recrear qué ha pasado en un
dispositivo digital. Al principio, estaba restringido solo a los ordenadores, pero
ahora comprende cualquier tipo de dispositivo digital como teléfonos móviles,
cámaras digitales e, incluso, dispositivos GPS2. Se ha utilizado para capturar
asesinos, secuestradores, infractores, jefes de la Mafia y muchas otras clases de
gente poco amistosa.
En esta lección, cubriremos dos aspectos del análisis forense (lo sentimos, todos
basados en ordenadores – no hay temas de móviles aquí).
1. Así pues, veremos lo que la gente puede llegar a tener en sus propios
ordenadores.
Esto cubre...

 … la recuperación de ficheros borrados
 … decodificación elemental
 … la búsqueda de cierto tipo de ficheros
 … la búsqueda de ciertas frases
 … la búsqueda en áreas interesantes del ordenador

2. También veremos lo que un usuario remoto ha estado haciendo en el
ordenador de otra persona.
Esto cubre...

 … la lectura de ficheros log
 … la reconstrucción de acciones
 … la búsqueda en áreas interesantes del ordenador
 … el rastreo de la fuente

1 Aparentemente está relacionado con las marcas dejadas alrededor de la garganta, y el nivel de

2 Global Positioning System – Sistema que puede comunicar tu posición en cualquier parte del

penetración del agua en los pulmones.

mundo utilizando satélites orbitales.

5

LECCIÓN 8 – DIGITAL FORENSICS

Esta lección se centrará en las herramientas disponibles en Linux. Existen también
herramientas disponibles para Windows así como software y hardware dedicado
para el análisis forense, pero con la capacidad de Linux para montar y entender
un gran número de sistemas de ficheros y sistemas operativos.

8.2. Principios del Forensics

8.2.1. Introducción

Existen un gran número de principios básicos que son necesarios
independientemente de si estás examinando un ordenador o un cadáver. Esta
sección resume la mayoría de estos principios.

8.2.2. Evita la contaminación

En televisión salen los examinadores forenses ataviados con batas blancas y
guantes, cogiend